Hinter einer scheinbar offiziell herausgegebenen Coronavirus-Karte verbirgt sich eine Malware-Variante, die die aktuelle Krisensituation gezielt ausnutzt. Cybersicherheitsforscher haben die Angriffsvariante analysiert und dokumentiert. Das Grundprinzip: Menschen suchen gerade besonders intensiv nach zuverlässigen Informationen über die Verbreitung von Corona – genau das machen sich die Angreifer zunutze.
Hacker schrecken offenbar nicht davor zurück, die Corona-Krise für kriminelle Zwecke auszunutzen. Die Malware zielt auf alle, die im Internet nach Informationen zur Verbreitung des Virus suchen. Analysiert wurde sie von Experten der Sicherheitsfirma Reason Cybersecurity, nachdem das MalwareHunterTeam die Bedrohung zuerst entdeckt hatte. Das Prinzip ist nicht neu: Kriminelle kapern virale Themen, um Opfer anzulocken.
Corona-Informationen im Fokus
Die Hacker leiten dich auf eine Seite, die täuschend echt der Karte zur Ausbreitung des Coronavirus der Johns Hopkins University nachgebaut ist. Das Institut erfasst weltweit bestätigte Coronafälle und gilt bei Medien wie Regierungen als zuverlässige Quelle. Die Fake-Seite zeigt die Ausbreitung von Covid-19 auf einer optisch kaum unterscheidbaren Karte – während im Hintergrund die Malware sensible Daten abgreift. Konkret zielt sie auf Passwörter und Kreditkarteninformationen, die im Browser gespeichert sind. Dazu kommen Cookies, Benutzerkennungen, der Browserverlauf und Keys von Kryptowährungen. Alles, was in den falschen Händen grossen Schaden anrichten kann.
„Corona-virus.exe“ installer -> „Corona-virus-Map.com.exe“ (2b35aa9c70ef66197abfb9bc409952897f9f70818633ab43da85b3825b256307) -> different malware samples + decoy viewer.
Has „FiasskHard Work CLIPPER + STEALER“ & something (AZO?) w/ C2: http://coronavirusstatus[.]space/index.php pic.twitter.com/rB8EkbL8pY— MalwareHunterTeam (@malwrhunterteam) March 3, 2020
Hacker nutzen bekannte Malware
Die Malware steckt in einer Win32-Exe-Datei, die in den meisten Fällen den Namen «Corona-virus-Map.com.exe» trägt und rund 3,26 MB gross ist. Nach dem Klick öffnet sich im Vordergrund die bekannte Weltkarte der Johns Hopkins University – im Hintergrund lädt die Datei gleichzeitig eine Reihe weiterer Dateien herunter, die den Browser infizieren und dort nach sensiblen Daten suchen. Die Hacker setzen dabei auf Azorult, eine Malware-Variante, die seit ihrer Erstentdeckung 2016 immer wieder bei verschiedenen Angriffen auftaucht. Hacker News berichtete von einer Variante, die auf einem befallenen Gerät ein eigenes Konto mit Administratorenrechten anlegen kann – was eine Verbindung über Remote Desktop Protocol ermöglichen würde. Das Hauptziel bleibt aber das Abgreifen sensibler Nutzerdaten.
Keine Gefahr durch offizielle Quellen
Den originalen Quellen musst du nicht misstrauen – auch wenn Kriminelle deren Design kopieren. Die gefälschte Karte orientiert sich an der Original-Darstellung mit Echtzeit-Fallzahlen, Länderauflistung links, Todes- und Genesungsstatistiken rechts und einem interaktiven Kartenlayout. Besonders gefährlich: Die Cyberkriminellen verwenden echte Daten der Johns Hopkins University, was die Fälschung besonders glaubwürdig macht. Die Original-Quellen des Instituts sind und bleiben für dich vollständig sicher – sie laden keinerlei Schadprogramme und haben keine gefährlichen Hintertüren.
Wie lässt sich die Ausführung des Schadprogramms erkennen?
Wird «Corona-virus-Map.com.exe» ausgeführt, multipliziert sich die Datei und verbreitet zahlreiche weitere Dateien auf dem Rechner – darunter Corona.exe, Build.exe, Bin.exe oder Windows.Globalization.Fontgroups.exe. Diese werden ebenfalls ausgeführt und verbinden das Gerät mit verschiedenen URLs. Die genannten Dateien sind nur ein Ausschnitt: Im Hintergrund laufen deutlich mehr Prozesse, deren gemeinsames Ziel das Abgreifen möglichst vieler Informationen vom infizierten Gerät ist.
Was schützt gegen die Coronavirus Malware?
Die Analysten empfehlen, eine aktuelle Anti-Malware-Software installiert zu haben – sie würde den Angriff sofort erkennen und stoppen. Wichtiger ist aber eine einfache Grundregel: Schau dir Quelle und Datei genau an, bevor du etwas herunterlädst und ausführst. Stimmt die angezeigte URL nicht mit der erwarteten Adresse überein, ist das ein deutliches Warnsignal. Frag dich ausserdem, ob die gewünschte Aktion überhaupt eine lokale Installation erfordert – wer eine Karte im Browser ansehen will, braucht keine ausführbare Datei. Ohne Sicherheitstool ist die Malware kaum zu erkennen und noch schwerer zu entfernen.
Welche Antivirus-Programme schützen effektiv gegen die Attacke?
Entdeckt wurde die Bedrohung von einem Analysten der Cybersecurity-Firma Reason Cybersecurity – entsprechend wurde deren Antivirussoftware in der Analyse als effektiver Schutz erwähnt. Die Software wurde nach der Entdeckung unmittelbar aktualisiert. Da die Analyseergebnisse zeitnah veröffentlicht wurden, sollten aber alle gepflegten Antivirusprogramme inzwischen auf dem aktuellen Stand sein. Entscheidend ist: Die Software muss regelmässig aktualisiert werden – eine veraltete Installation schützt nicht.
Vorsicht besonders in der Krise geboten
In Krisenzeiten ist Vorsicht besonders wichtig – online wie offline. Kriminelle nutzen den Instinkt aus, in unsicheren Zeiten möglichst viele verlässliche Informationen zu sammeln. Genau in diese Lücke stösst die Malware mit ihrer gefälschten Corona-Karte. Prüfe deshalb immer, ob die aufgerufene Seite wirklich der erwarteten Quelle entspricht, und lade Dateien nur mit einem wachen Blick herunter. Wer sich draussen vor einer Ansteckung schützt, sollte denselben Instinkt auch online anwenden – die Bedrohung ist real, die Abwehr aber möglich.